Le certificat électronique qualifié – aspects internationaux
Dans le but d’encourager le recours aux signatures électroniques, la Communauté européenne a adopté la directive communautaire « signature électronique » du 13 décembre 1999[1]. A la demande des institutions communautaires, elle avait pour ambition d’instituer un cadre juridique commun pour les signatures électroniques. La signatureélectronique consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache.
Le fonctionnement de la signature électronique repose notamment sur la technique de la cryptographie dite asymétrique – ou à clé publique. Le signataire va pouvoir signer un message à l’aide d’une clé privée et c’est grâce à la clé publique du signataire que ledestinataire va vérifier l’authenticité de la signature. L’unique moyen pour le destinataire de s’assurer du lien entre le signataire et la clé publique est le certificat électronique. La directive européenne le définit, en son article 2, comme étant « une attestation électronique qui lie les des données afférentes à la vérification de signature à une personne et confirme l’identité de cette personne ». Ilse présente sous la forme d’un fichier informatique et est délivré par un prestataire de services de certification électronique. Le signataire ne se voit délivré le certificat qu’après avoir fourni un certain nombre d’informations et de documents justifiant de sa qualité.
Ce mécanisme de signature électronique peut être renforcé pour atteindre un degré de sécurité plus important. Le dispositifde création de signature peut être « sécurisé » et le certificat électronique « qualifié ». La réunion de ces conditions donne au procédé une présomption de fiabilité et ce, conformément aux dispositions transposant la directive en droit interne.[2] En ses annexes I et II, la directive du 13 décembre 1999 définit les exigences relatives à l’obtention d’un certificat électronique qualifié. Cesexigences sont relatives, d’une part, au certificat lui-même et, d’autre part, au prestataire de services de certification électronique qui le délivre. Par exemple, le certificat doit comporter l’indication du lieu d’établissement du prestataire de services de certification. Cette précision est décisive car la loi applicable à l’acte formel que constitue le certificat est celle du lieu de sadélivrance. C’est au moment de la transposition de cette disposition dans leur droit interne – en droit français, à l’article 6 du décret du 30 mars 2001 – que les Etats membres prévoient l’intervention de systèmes de contrôle rattachés à leur administration.
La mondialisation des échanges du fait de la dématérialisation propre à Internet pose, inéluctablement, des interrogations quant au parcourstransfrontalier des certificats électroniques qualifiés. Dans le dessein de promouvoir et de faciliter le développement du recours à la signature électronique qualifiée – ou sécurisée – dans une dimension transfrontalière, la réglementation tant communautaire qu’interne impose un principe de libre circulation des services de certification au sein de la Communauté. Les Etats membres qui émettent descertificats électroniques qualifiés sont tous soumis aux exigences indiquées à ce titre par la directive communautaire. Ils ont l’obligation légale de reconnaître mutuellement les certificats qualifiés.
En pratique, l’obstacle majeur à leur utilisation transfrontalière réside dans le manque de confiance à l’égard des signatures électroniques qui émanent d’autres Etats membres. C’est pourquoi laCommission européenne[3] a, entre autres, établi très récemment une liste sûre de prestataires contrôlés de services de certification qualifiée, compilée au niveau européen. Cette liste centralise les informations nécessaires sur les prestataires contrôlés de services de certification qualifiée qui existent, afin de faciliter la procédure de validation des signatures électroniques basées sur des…